Ajankohtaista – Page 7

Uusia ominaisuuksia koenäkymään

15.8.202315.8.2023Matti LattuLeave a comment

Abitti-verkkopalveluun tehty päivitys tuo kokelaan koenäkymään kaksi uutta ominaisuutta helpottamaan kokeen suorittamista:

Kokeen tehtäväsivun vasemmassa reunassa näytetään kokeen sisällysluettelo, joka helpottaa liikkumista kokeessa. Sisällysluettelossa näytetään myös, mihin tehtäviin kokelas on vastannut ja varoitetaan, jos jonkin vastauksen pituus ylittää tehtävälle mahdollisesti asetetun enimmäispituuden. Sisällysluettelonäkymä mukautuu käytössä olevan ruudun koon mukaan. Sisällysluettelo-ominaisuutta ei näytetä näkövammaisten apuvälineillä suoritettavassa kokeessa, koska sen toiminnallisuudet ovat päällekkäisiä apuvälineiden toiminnallisuuksien kanssa.

Kuva: Ruutukaappaus mallikokeesta, jossa näkee sisällysluettelo-ominaisuuden
Kokelaalla on nyt myös halutessaan mahdollisuus avata vastauslaatikko koko ruudun tilaan klikkaamalla vastauslaatikon ylänurkassa olevaa ikonia. Koko ruudun tilassa on käytössä samat vastauslaatikon työkalut kuin muulloinkin. Työstettävänä oleva vastaus myös tallentuu jatkuvasti palvelimelle ilman, että kokelaan tarvitsee itse muistaa tallentaa työnsä. Kokoruututilassa näytetään kyseessä oleva tehtävänanto. Kokoruututilasta voi poistua klikkaamalla ylänurkassa olevaa ikonia uudestaan.

Kuva: Siirtyminen kokoruututilaan

Kuva: Siirtyminen pois kokoruututilasta

Ominaisuudet tulevat käyttöön Abitissa niissä harjoituskokeissa, jotka ladataan laadintapalvelusta uuden version julkaisun jälkeen. Uudet ominaisuudet ovat käytössä myös syksyn ylioppilastutkinnossa. Kokeen suorittaminen itsessään ei muutu, ja kokeen voi edelleen suorittaa ilman, että hyödyntää nyt julkaistuja ominaisuuksia.

Uusi versio vastaa syksyn yo-kokeissa käytettävää Abittia

15.8.202315.8.2023Matti LattuLeave a comment

Tänään julkaistut Abitti-versiot (ABITTI2332G ja SERVER2332I) vastaavat syksyn ylioppilastutkinnossa käytössä olevia versioita. Uusi käynnistysvaihtoehto (Nihonium) parantaa joidenkin koneiden toimintaa langattomassa koeverkossa. Muitakin pieniä teknisiä parannuksia on tehty.

Nyt julkaistava versio on yhteensopiva lokakuussa 2022 ja sen jälkeen julkaistujen Abitti-versioiden kanssa.

Muutoksia kesäkuussa

7.6.20237.6.2023Matti LattuLeave a comment

Kesäkuussa Abitissa tehdään seuraavia palvelun käyttöön vaikuttavia muutoksia.

Vanhan koeformaatin editori ja esikatselu poistuvat

Vanha MEB-koeformaatilla tehtävien kokeiden laatimiseen käytettävä koe-editori poistetaan torstaina 8.6. Tämän jälkeen Abitti-kokeita voi tehdä vain Bertta-editorilla tai tuomalla kokeita Tuo kokeet –painikkeella. Myös vanhalla koeformaatilla tehtyjen kokeiden esikatselu päättyy.

Vanhalla koeformaatilla tehdyt kokeet säilyvät edelleen Abitissa. Vanhalla koeformaatilla tehtyjä kokeita voi vielä tuoda Tuo koe –painikkeella ja yksittäisiä koetehtäviä voi kopioida uusiin kokeisiin Bertta-editorissa olevalla tehtävän kopiointitoiminnolla.

Tästä muutoksesta ilmoitimme 1.9.2022. Vielä ei ole päätetty, missä vaiheessa poistetaan mahdollisuus tuoda Abittiin uusia MEB-kokeita Tuo koe –napin avulla tai sitä, milloin Abitista poistetaan kaikki MEB-muotoiset kokeet.

Abitti pois käytöstä 20.6.

Abitissa tehdään ylläpitotöitä tiistaina 20.6. Tämä aiheuttaa palveluun useamman tunnin käyttökatkon, joka alkaa aamuyhdeksän jälkeen. Kokeita voi toki järjestää katkon aikana, mutta koetehtävät on ladattava edellisenä päivänä. Arvostelemaan pääsee todennäköisesti jo tiistai-iltapäivän aikana.

Abitti-tuki toivottaa kaikille lomalaisille oikein hyvää opetuksetonta aikaa tai lomaa!

Abitissa toimintahäiriö – ongelmaa selvitetään

30.5.202330.5.2023Mikko SalmiLeave a comment

Oma.abitti.fi-palvelussa on toimintahäiriö. Kokeita ei voi ladata eikä arvostella. Aiemmin ladattuja kokeita voi pitää, mutta niiden suorituksia ei voi tuoda palveluun.

Lautakunta pahoittelee häiriötä.

Päivitys 30.5.2023 klo 12.14:

ABITTI TOIMII TAAS – TILANNETTA SEURATAAN

Oma.abitti.fi-palvelun ongelmat on saatu ainakin toistaiseksi ratkaistua, ja palvelu toimii. Häiriö johtui palvelun taustalla toimivan tietokantapalvelimen liian hitaasta levystä. Levyn nopeutta kasvatettiin ja palvelu käynnistettiin uudestaan, minkä jälkeen palvelu on toiminut normaalisti. Seuraamme tilannetta.

Uudessa Abitti-versiossa pieniä päivityksiä

9.5.20239.5.2023Matti LattuLeave a comment

Tänään julkaistut uudet Abitti-versiot sisältävät joitakin pieniä päivityksiä. Otavan MAOL digitaulukot on päivittynyt ja koeympäristön ohjeiden saavutettavuutta on parannettu.

Tekniikkapuolella on päivitetty muutaman laitteen firmware-tiedostoja. Päivitykset parantavat joidenkin wifi- ja äänipiirien toimintaa.

Kokelaan tikkuun on tehty myös kaksi tietoturvapäivitystä.

LibreOfficessa oli saatavilla englannin kielen oikoluku. Tämä on nyt estetty. Kiitokset Santtu Savolalle, joka löysi tämän ominaisuuden.
Kokelaan koneelta voidaan katsella koneen havaitsemia wifi-verkkojen nimiä. Näitä nimiä voidaan käyttää tietojen välittämiseen kokelaalle. Tämä hyökkäystavan hyödyntämismahdollisuus ylioppilaskokeissa lisääntyy jatkuvasti lukioiden siirtyessä käyttämään langattomia tutkintoverkkoja. Uusi Abitti-versio piilottaa käyttäjältä kaikki verkkojen nimet, jotka ovat yli 20 merkin mittaisia. Ylioppilaskokeita varten filtteriä tiukennetaan. Kiitokset Miika K:lle, joka ilmoitti tästä mahdollisuudesta ja kuvasi useita hyväksikäyttömenetelmiä.

Nyt julkaistut versiot toimivat lokakuussa 2022 ja sen jälkeen julkaistujen Abitti-versioiden kanssa.

Uusi Abitti-versio sopii kevään koejärjestelyjen testaukseen

16.2.202316.2.2023Matti LattuLeave a comment

Tänään julkaistavat Abitti-versiot (ABITTI2307P ja SERVER2307S) sopivat kevään ylioppilaskokeen järjestelyjen testaukseen.

Kokelaan koneeseen on tehty seuraavat korjaukset:

Kokelaan tikulta on korjattu GeoGebra 5:n 3D-näyttö ja MarvinSketchin MarvinSpace, jonka avulla rakennemalleja voi tarkastella kolmiulotteisina.
Versiossa ABITTI2302L kokelaan koneen äänet lakkasivat toimimasta aina kun käyttöliittymän kieli vaihdettiin ruotsiksi. Tämä virhe on korjattu.
Joissakin harjoituskokeissa on tavattu äänitiedostoja, joissa onkin ollut mukana videosisältöä. Tällaiset tiedostot eivät aiemmin ole toimineet kuuntelukerroiltaan rajoitettuina äänitteinä. Nyt äänitteistä soitetaan pelkkä ääniraita ja mahdollinen videosisältö jätetään huomiotta.

Kokelaan koneen koetilan palvelimelle lähetettävät lokitiedot salataan, mikä vaikeuttaa tietoliikenteen salakuuntelua. Tästä huolimatta nyt julkaistut versiot toimivat lokakuussa 2022 ja sen jälkeen julkaistujen Abitti-versioiden kanssa.

Lue lisää:

Muutosloki

Uusi Abitti vastaa kevään yo-tikkua ja korjaa tietoturvahaavoittuvuuksia

12.1.202312.1.2023Matti LattuLeave a comment

Tänään julkaistava versio on viimeinen ennen kevään ylioppilaskokeita julkaistava Abitti. Se sisältää vain yhden kokelaalle näkyvän muutoksen: PDF-muotoisen kokeen liitetiedoston avaamisen yhteydessä liite on helppo avata myös muilla ohjelmilla kuin selaimella (esim. Okularilla).

Julkaistavassa Abitissa on korjattu kolme tietoturvahaavoittuvuutta, joista vakavin mahdollisti kokeeseen kirjautumisen väärällä henkilötunnuksella.

Uusi versio on yhteensopiva vuoden 2022 viikolla 43 ja sen jälkeen julkaistujen Abitti-versioiden kanssa:

ABITTI 2243K, 2244B, 22451
SERVER 22436, 2244T

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan kaikkien haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Kirjautuminen kokeeseen väärällä henkilötunnuksella oli mahdollista

Abittiin kirjautumisessa käytetään kokelaan henkilötunnusta, jonka valvoja tarkistaa ja antaa kokelaalle kirjautumisnäkymään syötettävän vahvistuskoodin. Hyökkäyksessä kirjaudutaan koejärjestelmään syöttämällä henkilötunnus- ja vahvistuskoodikombinaatioita koneellisesti, kunnes oikea yhdistelmä löytyy (brute force). Näin päästään suorittamaan koetta väärällä identiteetillä.

Haavoittuvuusluokitus: CVSS-pisteet 8,3 (korkea)

2. Valvojan koneen ja koetilan palvelimen välinen istuntotunniste oli kovakoodattu

Kokeen järjestäjä voi käynnistää koeverkkoon kokeen valvojille tietokoneita, joista he voivat seurata koejärjestelmän tuottamaa tilannekuvaa. Valvojan koneen ja koetilan palvelimen välisessä viestinnässä on käytetty kovakoodattua istuntotunnistetta. Tunniste ei sellaisenaan avaa pääsyä koetilan palvelimelle, koska valvojan koneet auktorisoidaan palvelimen arpomalla salasanalla.

Haavoittuvuusluokitus: CVSS-pisteet 5,0 (keskitaso)

3. Kokelas pystyi tallentamaan kuuntelukerroiltaan rajoitetun äänitteen

Haavoittuvuudessa vilpillinen kokelas hyödyntää Abitissa käytettyä PulseAudio-ääniohjelmiston monitor-äänilähtöä. Hyödyntämällä Abitissa olevia ohjelmistoja kokelas tallentaa monitor-lähdöstä tulevan signaalin tiedostoon. Tämän jälkeen äänite on kokelaan vapaasti kuunneltavissa.

Haavoittuvuusluokitus: CVSS-pisteet 3,3 (matala)

Kiitämme Testausserverin tiimiä: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä ja Taavi Väänänen

Käyttökatko venyy

28.12.202228.12.2022Matti LattuLeave a comment

Abitin huoltokatko venyy suunniteltua pidemmälle. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti vielä huomenna, 29.12.2022.

Pahoittelemme pitkäksi venähtänyttä katkoa!

Käyttökatko Abitissa 28.12.2022

20.12.202220.12.2022Matti LattuLeave a comment

Abitissa tehdään huoltotöitä keskiviikkona 28.12.2022. Tehtävänlaadintaan ja kokeiden arvosteluun käytettävä verkkopalvelu oma.abitti.fi on poissa käytöstä mahdollisesti koko työpäivän ajan.

Ennen katkon alkua ladatut kokeet voi järjestää, mutta koesuoritukset voi palauttaa arvosteluun vasta katkon päätyttyä.

Seuraava Abitti-versio julkaistaan tammikuun alussa. Tämä versio vastaa kevään 2023 ylioppilaskokeissa käytettävää Abittia.

Abitti-tuki toivottaa kaikille hyvää joulua ja onnellista uutta vuotta!

Lokakuussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja

30.11.202230.11.2022Matti LattuLeave a comment

Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja.

Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen.

Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen.

Tietoturva-aukot ovat olleet kaikissa tähän mennessä järjestetyissä ylioppilaskokeissa. Ylioppilastutkintolautakunnalla ei ole tietoa, onko haavoittuvuuksia käytetty hyväksi ylioppilastutkinnossa.

Ylioppilastutkintolautakunta suosittelee Abitti-järjestelmällä harjoituskokeita järjestäviä päivittämään välittömästi turvallisiin versioihin:

Korjatut kokelaan koneen versiot: 2243K, 2244B, 22451
Korjatut palvelinversiot: 22436, 2244T, 2245K

Haavoittuvuudet löytyivät hakkeritapahtumassa

Tietoturva-aukot löydettiin LähiTapiolan valkohattuhakkereille 15.10.2022 järjestämässä HackDay-kilpailussa. Ylioppilastutkintolautakunta on käsitellyt löydökset normaalin politiikkansa mukaisesti siten, että ne julkistetaan kolmen kuukauden kuluessa ilmoituksesta. Hakkerointitapahtuman luottamuksellisesta luonteesta johtuen Ylioppilastutkintolautakunnalla ei ole tiedossaan haavoittuvuuksia löytäneiden tiimien ja tiimin jäsenten nimiä.

Ylioppilastutkintolautakunta kiittää LähiTapiolaa ja kaikkia haavoittuvuuksista raportoineita.

HackDay-tapahtumassa tehtiin muitakin Abittia koskevia tietoturvahavaintoja, joista raportoidaan myöhemmin.

Alla tiiviit kuvaukset nyt korjatuista haavoittuvuuksista.

1. Mielivaltaisten tiedostojen lataaminen ja muokkaaminen

Vakavin haavoittuvuus mahdollistaa koetilan palvelimella olevien tiedostojen lisäämisen, muuttamisen sekä lataamisen. Hyökkäys on tehtävä paikalliseen koeverkkoon liitetyltä tietokoneelta, esimerkiksi kokelaan omalta tietokoneelta. Hyväksikäyttö edellyttää kirjautumista koetilan palvelimelle.

Hyökkäys perustuu kokelaan kokeen aikana luomien tiedostojen varmuuskopioinnissa käytetyn rajapinnan syötteiden puutteelliseen sanitointiin.

Haavoittuvuusluokitus: CVSS: 8.8 (korkea)

2. Mielivaltaisten komentojen suorittaminen pääkäyttäjän oikeuksin

Haavoittuvuus mahdollista mielivaltaisten komentojen suorittamisen kokelaan omalla tietokoneella pääkäyttäjän oikeuksin. Hyökkäys perustuu Abitti-koejärjestelmän mekanismiin, jolla koetiedostojen yhteydessä voidaan päivittää kokelaan koneella olevia tiedostoja. Päivitysmekanismi purkaa tiedostot kokelaan koneen väliaikaishakemistoon ennen asentamista. Oikein ajoitettu hyökkäys korvaa tiedostot hyökkääjän tiedostoilla, jotka asennetaan koeympäristöön pääkäyttäjän oikeuksin.

Hyökkäys on mahdollista vain sellaisissa kokeissa, jotka sisältävät kokelaan konetta päivittävän paketin. Havainnon vakavuutta ylioppilaskokeissa vähentää kokelaan koneen tekninen valvonta.

Haavoittuvuusluokitus: CVSS-pisteet: 2.0 (matala)

3. Väärä käyttöehtosopimuksen versio

Kokeeseen osallistujan kirjautumisen yhteydessä on näytetty väärä käyttöoikeussopimuksen versionumero 1.3, kun oikea versionumero olisi ollut 1.4.

Varsinainen luettavissa oleva käyttöoikeussopimuksen versionumero on ollut oikein (1.4) ja varsinainen sopimusteksti on vastannut Abitti.fi-verkkosivuilla olevaa versiota (1.4).

Haavoittuvuusluokitus: GDPR-loukkaus